Lazarus 濫用戴爾驅動程序漏洞部署 FudModule Rootkit

研究人員發現，臭名昭著的朝鮮黑客組織 Lazarus 部署了新的 Windows Rootkit，該惡意軟件利用了戴爾驅動程序的漏洞。

魚叉郵件攻擊在 2021 年秋季開始，已經確認荷蘭的一名航空航天專家與比利時的一名政治記者被攻擊。ESET 表示，本次攻擊活動的主要目標是進行間諜活動與數據盜竊。

濫用戴爾驅動程序進行攻擊

攻擊者針對歐盟的攻擊目標發送虛假的職位招聘信息，這在 2022 年是非常典型且常見的社會工程學技巧。打開文檔就會從硬編碼地址下載遠程模板，加載后續惡意代碼與后門。

【惡意文檔】

ESET 在報告中表示，攻擊者所使用的全新 Rootkit 名為 FudModule，該惡意軟件利用戴爾硬件驅動程序中的漏洞進行攻擊。

攻擊者利用戴爾驅動程序中的 CVE-2021-21551 漏洞，獲取讀寫內核內存的能力。ESET 也表示，這也是有記錄以來首次在野發現對該漏洞的利用。

攻擊者直接操控內核內存來禁用 Windows 操作系統能夠跟蹤其的七種安全機制，如注冊表、文件系統、進程創建、事件跟蹤等，使安全解決方案失效。

BYOVD 攻擊

BYOVD 攻擊是指攻擊者在 Windows 中加載合法的簽名驅動程序，但這些驅動程序包含已知的漏洞。由于內核驅動程序已簽名，Windows 系統將允許將驅動程序安裝在操作系統中，攻擊者從而利用驅動程序漏洞獲取內核級權限。

【失效證書】

Lazarus 利用了戴爾硬件驅動程序（dbutil_2_3.sys）中的漏洞（CVE-2021-21551），在戴爾推送安全更新前該漏洞已經存在了十二年。

【驅動程序】

2021 年 12 月，Rapid 7 的研究人員表示：“戴爾的修復并不完全，該驅動程序仍然是被攻擊者青睞的目標”。看起來，Lazarus 的攻擊者也非常了解該漏洞，并且在安全分析人員發布之前就開始有針對性的利用。

BLINDINGCAN 與其他工具

ESET 也發現 Lazarus 組織在攻擊行動中部署了自定義 HTTP(S) 后門 BLINDINGCAN，該后門最早由美國情報部門在 2020 年 8 月發現，并且在 2021 年 10 月被卡巴斯基正式歸因為 Lazarus 攻擊組織。

ESET 確定 BLINDINGCAN 后門支持 25 個命令，包括文件操作、命令執行、C&C 通信、屏幕截取、進程創建與系統信息泄露等。

【數據回傳】

攻擊活動中不僅有 Rootkit FudModule，還有用于數據泄露的上傳工具。以及各種木馬化的開源應用程序，如 wolfSSL 與 FingerText。

將開源工具木馬化是 Lazarus 的一貫風格，微軟在研究報告中也提到了這一點。攻擊者已經開始將魔爪伸向了 PuTTY、KiTTY、TightVNC、Sumatra PDF Reader 和 muPDF/Subliminal Recording 等程序。